A. 計算機網路技術主要課程!記得排序(先學什麼、再學什麼……)【按要求回答都給分】
第一章、基本知識
1、計算機系統組成
2、計算機軟體的基礎知識
3、多媒體的基本概念
4、計算機應用領域
第二章、操作系統
1、操作系統的基本概 念,主要功能和分類
2、進程、線程、進程 間通信的基本概念
3、存儲管理、文件管理、設備管理 的主要技術
4、典型操作系統的使 用
第三章、計算機網路的基本概念
1、數據通訊技術的定 義與分類
2、數據通訊技術基礎
3、網路體系結構與協議的基本概念
4、廣域網、區域網與 城域網的分類、特點與典型系統
5、網路互連技術與互連設備
第四章、局域應用技術
1、區域網分類與基本 工作原理
2、高速區域網
3、區域網組網方法
4、網路操作系統
5、結構化布線技術
第五章、Internet基礎
1、Internet的基本結 構與主要服務
2、Internet通訊協議 ——TCP/IP
3、Internet接入方法
4、超文書、超媒體與Web瀏覽器
第六章、網路安全技術
1、信息安全的基本概 念
2、網路管理的基本概念
3、網路安全策略
4、加密與認證技術
5、防火牆技術的基本 概念
第七章、網路應用:電子商務
1、電子商務基本概念與系統結構
2、電子商務應用中的 關鍵技術
3、瀏覽器、電子郵件及Web伺服器的 安全特性
4、Web站點內容的策劃和推廣
5、使用Internet進行 網上購物
第八章、網路技術發展
1、網路應用技術的發展
2、寬頻網路技術
B. 計算機網路自頂向下方法
計算機網路自頂向下方法如下:
自頂自下主要是一種演算法的實現,在不知道結果的情況之下,使用一種方法進行賀數演算,得到一種正確的結果,也就可以命名用自頂向下的思想進行實現了。衫螞
在方程式內,對於未知的結果也就是進行一種推算。可以使用演算法,也可以使用方程式的方式。在中國最古老的方式,我們也都會知道,演算法就是我國最為古老的算學方式。
實在不會的,也要記住演算的步驟,因為記憶或許就是演算法的精要。我們在學習數學的時候,使用的方程並不要我們進行記憶,因為我們在進行計算的時候,都要寫在作業本之上,所以相對於演算法來說,簡單實現一點,對於一種記憶來說,更為的困難了。不過筆記解決了這樣的一種問題。
而古老的演算法,這個X的過程,可能就在我們的內心吧。用筆畫一畫,或許我們也就明白了,不過真的要記憶這樣一種完全的演算法過程,也不是一件內容的事情。
C. 那位給發一下計算機網路(謝希仁,第四版)第六章,28題:簡述RIP,OSPF,和BGP路由選擇協議的特點
1、RIP現在基本不用,就算是小型網路,也可執行OSPF,如果網路太小,比如幾台路由器,可用靜態路由;
2、OSPF適合中大型網路,一般路由器在1000台以下的都行,只要規劃合理;
3、BGP自治系統外部路由,目前唯一使用的EGP路由。
RIP協議工作在網路層,ospf也會也是工作在網路層,但是BGP就不是,工作在傳輸層,利用TCP的179埠,因為BGP主要用在運營商,概念和RIP,ospf完全不同,是距離矢量但又有鏈路狀態的特性的混合協議。因為他是AS by AS的傳遞路由信息。比其他協議更穩定,而且安全的以後總協議。
(3)計算機網路自頂向下第六章擴展閱讀:
RIP很早就被用在Internet上,主要傳遞路由信息,通過每隔30秒廣播一次路由表,維護相鄰路由器的位置關系,同時根據收到的路由表信息計算自己的路由表信息。
最大跳數為15跳,超過15跳的網路則認為目標網路不可達。此協議通常用在網路架構較為簡單的小型網路環境。分為RIPv1和RIPv2兩個版本,後者支持VLSM技術以及一系列技術上的改進。RIP的收斂速度較慢。
路由協議主要運行於路由器上,路由協議是用來確定到達路徑的,它包括RIP,IGRP(Cisco私有協議),EIGRP(Cisco私有協議),OSPF,IS-IS,BGP。起到一個地圖導航,負責找路的作用。它工作在網路層。路由選擇協議主要是運行在路由器上的協議,主要用來進行路徑選擇。
D. 計算機網路這門課一共有多少章節
這門課一共有7個章節。包括:第一章概述,第二章物理層,第三章數據鏈路層,第四章介質訪問控制子層,第五章網路層,第六章傳輸層,第七章應用層,。
E. 計算機網路
入門:《網路是怎麼連接的》、《圖解 TCP/IP 》、《圖解 HTTP 》.
深入學習:
《 計算機網路:自頂向下 》
https://gaia.cs.umass.e/kurose_ross/wireshark.htm
https://media.pearsoncmg.com/ph/esm/ecs_kurose_compnetwork_8/cw/
《計算機網路》謝希仁的 ( 這個評價倒是還好,
《TCP/IP 詳解 卷一:協議》
《 Computer Networks: A Systems Approach 》Larry L Peterson
《 Computer Networks 》 Andrew S.Tanenbaum ( 雖然是 AST 的, 但是好像不適合初學
《 Elements of Computer Networking: An Integrated Approach (Concepts, Problems and Interview Questions) 》 ( ? )
https://www.hu.com/question/19718686
https://www.hu.com/question/19774914
https://www.hu.com/question/22354846
我的東西主要是英文的 , 當然, 我也需要買中文, 但我的渠道英文電子書方便
" 其實覺得cs144的公開視頻講得挺一般的,但是cs144新的lab真的很棒 "
https://online.stanford.e/lagunita-learning-platform
https://www.hu.com/question/63658105
《圖解 HTTP》
如果要入門 TCP/IP 網路模型,我推薦的是《圖解 TCP/IP》
另外,你想了解網路是怎麼傳輸,那我推薦《網路是怎樣連接的》
入門:《網路是怎麼連接的》、《圖解 TCP/IP 》《圖解 HTTP 》.
2.深入學習:《計算機網路:自頂向下》、《TCP/IP 卷一》
對於 TCP/IP 網路模型深入學習的話,推薦《計算機網路 - 自頂向下方法》,這本書是從我們最熟悉 HTTP 開始說起,一層一層的說到最後物理層的,有種挖地洞的感覺,這樣的內容編排順序相對是比較合理的。
但如果要深入 TCP,前面的這些書還遠遠不夠,賦有計算機網路聖經的之說的《TCP/IP 詳解 卷一:協議》這本書,
要說我看過最好的 TCP 資料,那必定是《The TCP/IP GUIDE》這本書了,目前只有英文版本的,而且有個專門的網址可以白嫖看這本書的內容,圖片都是彩色,看起來很舒服很鮮明,小林之前寫的 TCP 文章不少案例和圖片都是參考這里的,這本書精華部分就是把 TCP 滑動窗口和流量控制說的超級明白,很可惜擁塞控制部分說的不多。
Wireshark
當然,計算機網路最牛逼的資料,那必定 RFC 文檔,它可以稱為計算機網路世界的「法規」,也是最新、最權威和最正確的地方了,困惑大家的 TCP 為什麼三次握手和四次揮手,其實在 RFC 文檔幾句話就說明白了。
小白讀 《網路是怎樣鏈接的》,然後 《圖解 HTTP 》 《圖解 TCP/IP 》。如果想學術一點,《計算機網路:自頂向下方法 中文第六版》或者 (Computer Networking: A top-down Approach 7th)。再難點,T 大佬的 《計算機網路》(Computer Networks)
在計算機網路的學習中為大家推薦《計算機科學導論》。這本書用大量的篇幅介紹了計算機網路的內容,還詳細地介紹了計算機科學目前發展的特點和現狀,適合想要學習計算機網路的同學打基礎使用。
https://book.douban.com/review/7443456/#comments
自頂向下方法有兩本:Computer Networking: A Top-Down ApproachbyJames F. Kurose, Keith W. Ross 中文翻譯: 計算機網路:自頂向下方法(樓主提到的是這個)
Computer Networks: A Top-Down ApproachbyBehrouz A. Forouzan, Firouz Mosharraf 中文翻譯:計算機網路教程:自頂向下方法
思科實驗模擬器EVE的安裝與使用 https://zhuanlan.hu.com/p/166295824
思科CCNA命令大全 https://zhuanlan.hu.com/p/259820495
F. 計算機網路自頂向下方法--網路層
R1. 我們回顧一下本書中使用的某些術語。前面講過,運輸層的分組名稱是報文段,數據鏈路層的分組名字是幀。網路層的分組名字是什麼?前面講過,路由器和鏈路層交換機都稱為分組交換機。路由器和鏈路層交換機間的根本區別是什麼?回想我們對數據報網路和虛電路網路都使用術語路由器。
R2. 在數據報網路中,網路層最重要的兩個功能是什麼?在虛電路網路中,網路層的3個最重要的功能是什麼?
R3. 路由選擇和轉發的區別是什麼?
R4. 在數據報網路和虛電路網路中,路由器都使用轉發表嗎?如果是,描述用於這兩類網路的轉發表。
R5. 描述某些網路層能為單個分組提供的某些假想的服務。對於分組流進行相同的描述。網際網路的網路層為你提供了這些假想服務嗎?ATM的CBR服務模型提供了該假想服務嗎?ATM的ABR服務模型提供類該假想服務嗎?
R6. 列出某些得益於ATM的CBR服務模型的應用。
R7. 討論為什麼在高速路由器的每個輸入埠都存儲轉發表的影子副本。
R8. 4.3節中討論了3類交換結構。列出並簡要討論每一類交換結構。哪一種(如果有的話)能夠跨越交換結構並行發送多個分組?
R9. 描述在輸入埠會出現分組丟失的原因。描述在輸入埠如何消除分組丟失(不使用無限大緩存區)。
R10. 描述在輸出埠出現分組丟失的原因。通過增加交換結構速率,能夠防止這種丟失嗎?
R11. 什麼是HOL阻塞?它出現在輸入埠還是輸出埠?
R12. 路由器有IP地址嗎?如果有,有多少個?
R13. IP地址223.1.3.27的32比特二進制等價形式是什麼?
R14. 考察使用DHCP獲得它的IP地址,網路掩碼,默認路由器和其本地DNS伺服器的IP地址的主機。列出這些值。
R15. 假設在一個源主機和一個目的主機之間有3台路由器。不考慮分片,一個從源主機發送給目的主機的IP報文將通過多少個埠?為了將數據報從源移動到目的地需要檢索多少個轉發表?
R16. 假設某應用每20ms生成一個40位元組的數據塊,每塊封裝在一個TCP報文中,TCP報文再封裝在一個IP數據報中。每個數據報的開銷有多大?應用數據所佔的百分比是多少?
R17. 假設主機A向主機B發送封裝在一個IP數據報中的TCP報文段。當主機B接收到該數據報時,主機B中的網路層應該如何知道它應當將該報文段(即數據報的有效載荷)交給TCP而不是UDP或某個其他東西呢?
R18. 假定你購買了一個無線路由器並將其與電纜數據機相連,並且你的ISP動態地為你連接的設備(即你的無線路由器)分配一個IP地址。還假定你家有5台PC,均使用802.11以無線方式與該無線路由器相連。怎樣為這5台PC分配IP地址?該無線路由器使用NAT嗎?為什麼?
R19. 比較IPv4和IPv6首部欄位。它們有某些欄位是相同的嗎?
R20. 有人說當IPv6通過IPv4路由器建隧道時。IPv6將IPv4隧道作為鏈路層協議。你同意這種說法嗎?為什麼?
R21. 比較和對照鏈路狀態和距離向量路由選擇演算法?
R22. 討論網際網路的等級制組織是怎樣使得其能夠擴展為數以百萬計用戶的。
R23. 每個自治系統使用相同的AS內部路由選路演算法是必要的嗎?為什麼?
R24. 考慮圖4-37。從D中的初始表開始,假設D收到來自A的下面的通告:
D中的表會改變嗎?如果是,怎樣變化?
R25. 比較RIP和OSPF使用的通告。
R26. 填空:RIP通告通常宣稱到各目的地的跳數。另一方面,BGP則是通告到各目的地的_____?
R27. 為什麼在網際網路中用到了不同類型的AS間與AS內部選路協議?
R28. 為什麼策略考慮對於AS內部協議(如OSPF和RIP)與對於AS間路由選擇協議(如BGP)一樣重要呢?
R29. 定義和對比下列術語:子網,前綴和BGP路由。
R30. BGP是怎樣使用NEXT-HOP屬性的?它是怎樣使用AS-PATH屬性的?
R31. 描述一個較高層ISP的網路管理員在配置BGP時是如何實現策略的。
TODO----HERE
4.6.32 通過多個單播實現廣播抽象與通過支持廣播的單個網路(路由器)實現廣播抽象之間有什麼重要區別嗎?
答:N次單播效率低,需要知道接收者的地址,消耗大。但是使用廣播的話可以通過洪泛方法發送消息。
4.6.33 對於我們學習的3種一般的廣播通信方法(無控制洪泛,受控洪泛和生成樹廣播),下列說法正確嗎?可以假定分組不會因緩存溢出而丟失,所有分組以它們發送的順序交付給鏈路。
a.一個節點可能接收到同一個分組的多個拷貝。
b.一個節點可能跨越相同的出鏈路轉發多個分組的拷貝。
答:無控制洪泛:a對,b對。受控洪泛:a對,b錯。生成樹廣播:a錯,b錯。
4.6.34 當一台主機加入一個多播組時,它必須將其IP地址改變為它所加入的多播組的地址嗎?
答:對錯誤。
4.6.35 IGMP和廣域多播選路協議所起的作用是什麼?
答:IGMP運行在一台主機與其直接相連的路由器之間。IGMP允許主機指定路由器要加入的組播網。然後由組播路由器與運行組播路由協議的其他組播路由器一起工作。
4.6.36 在多播選路場合中,一棵組共享的樹與一顆基於源的樹之間有什麼區別?
答:一個組共享的樹來為組中所有發送方分發流量,一個是為每個獨立的發送方構建一顆特定源的選路樹。
G. 計算機網路自頂向下方法的圖書目錄
出版者的話
作譯者簡介
譯者序
前言
第1章
計算機網路和網際網路
1.1 什麼是網際網路
1.1.1 具體構成描述
1.1.2 服務描述
1.1.3 什麼是協議
1.2 網路邊緣
1.2.1客戶機和伺服器程序
1.2.2 接入網
1.2.3 物理媒體
1.3 網路核心
1.3.1 電路交換和分組交換
1.3.2 分組是怎樣通過分組交換網形成其通路的
1.3.3 ISP和網際網路主幹
1.4 分組交換網中的時延、丟包和吞吐量
1.4.1 分組交換網中的時延概述
1.4.2 排隊時延和丟包
1.4.3 端到端時延
1.4.4 計算機網路中的吞吐量
1.5 協議層次和它們的服務模型
1.5.1 分層的體系結構
1.5.2 報文、報文段、數據報和幀
1.6 攻擊威脅下的網路
1.7 計算機網路和網際網路的歷史
1.7.1 分組交換的發展:1961~1972
1.7.2 專用網路和網路互聯:1972~1980
1.7.3 網路的激增:1980~1990
1.7.4 網際網路爆炸:20世紀90年代
1.7.5 最新發展
1.8 小結
本書路線圖
課後習題和問題
復習題
習題
討論題
Ethereal實驗
人物專訪
第2章
應用層
2.1 應用層協議原理
2.1.1 網路應用程序體系結構
2.1.2 進程通信
2.1.3 可供應用程序使用的運輸服務
2.1.4 網際網路提供的運輸服務
2.1.5 應用層協議
2.1.6 本書涉及的網路應用
2.2 Web應用和HTTP協議
2.2.1 HTTP概況
2.2.2 非持久連接和持久連接
2.2.3 HTTP報文格式
2.2.4 用戶與伺服器的交互:cookie
2.2.5 Web緩存
2.2.6 條件GET方法
2.3 文件傳輸協議:FTP
2.4 網際網路中的電子郵件
2.4.1 SMTP
2.4.2 與HTTP的對比
2.4.3 郵件報文格式和MIME
2.4.4 郵件訪問協議
2.5 DNS:網際網路的目錄服務
2.5.1 DNS提供的服務
2.5.2 DNS工作機理概述
2.5.3 DNS記錄和報文
2.6 P2P應用
2.6.1 P2P文件分發
2.6.2 在P2P區域中搜索信息
2.6.3 案例學習:Skype的P2P網際網路電話
2.7 TCP套接字編程
2.7.1 TCP套接字編程
2.7.2 一個Java客戶機 伺服器應用程序例子
2.8 UDP套接字編程
2.9 小結
課後習題和問題
復習題
習題
討論題
套接字編程作業
Ethereal實驗
人物專訪第3章 運輸層第4章 網路層第5章 鏈路層和區域網第6章 無線網路和移動網路第7章 多媒體網路第8章 計算機網路中的安全第9章 網路管理參考文獻
H. 三級網路筆記第六章網路安全技術
第六章 網路安全技術
網路管理包括五個功能:配置管理,故障管理,性能管理,計費管理和安全管理。
代理位於被管理的設備內部,它把來自管理者的命令或信息請求轉換為本設備特有的指令,完成管理者的指示,或返回它所在設備的信息。
管理者和代理之間的信息交換可以分為兩種:從管理者到代理的管理操作;從代理到管理者的事件通知。
配置管理的目標是掌握和控制網路和系統的配置信息以及網路各設備的狀態和連接管理。現代網路設備由硬體和設備驅動組禪巧成。
配置管理最主要的作用是可以增強網路管理者對網路配置的控制,它是通過對設備的配置數據提供快速的訪問來實現的。
故障就是出現大量或嚴重錯誤需要修復的異常情況。故障管理是對計算機網路中的問題或故障進行定位的過程。
故障管理最主要的作用是通過提供網路管理者快速的檢查問題並啟動恢復過程的工具,使網路的可靠性得到增強。故障標簽就是一個監視網路賀信鍵問題的前端進程。
性能管理的目標是衡量和呈現網路特性的各個方面,使網路的性能維持在一個可以接受的水平上。
性能管理包括監視和調整兩大功能。
記費管理的目標是跟蹤個人和團體用戶對網路資源的使用情況,對其收取合理的費用。
記費管理的主要作用是網路管理者能測量和報告基於個人或團體用戶的記費信息,分配資源並計算用戶通過網路傳輸數據的費用,然後給用戶開出帳單。
安全管理的目標是按照一定的方法控制對網路的訪問,以保證網路不被侵害,並保證重要的信息不被未授權用戶訪問。
安全管理是對網路資源以及重要信息訪問進行約束和控制。
在網路管理模型中,網路管理者和代理之間需要交換大量的管理信息,這一過程必須遵循統一的通信規范,我們把這個通信規范稱為網路管理協議。
網路管理協議是高層網路應用協議,它建立在具體物理網路及其基礎通信協議基礎上,為網路管理平台服務。
目前使用的標准網路管理協議包括:簡單網路管理協議SNMP,公共管理信息服務/協議CMIS/CMIP,和區域網個人管理協議LMMP等。
SNMP採用輪循監控方式。代理/管理站模式。
管理節點一般是面向工程應用的工作站級計算機,擁有很強的處理能力。代理節點可以是網路上任何類型的節點。SNMP是一個應用層協議 ,在TCP/IP網路中,它應用傳輸層和網路層的服務向其對等層傳輸信息。
CMIP的優點是安全性高,功能強大,不僅可用於傳輸管理數據,還可以執行一定的任務。
信息安全包括5個基本要素:機密性,完整性,可用性,可控性與可審查性。
3 D1級。D1級計算機系統標准規定對用戶沒有驗證。例如DOS。WINDOS3。X及WINDOW 95(不在工作組方式中)。Apple的System7。X。
4 C1級提供自主式安全保護,它通過將用戶和數據分離,滿足自主需求。
C1級又稱為選擇安全保護系統,它描述了一種典型的用在Unix系統上的安全級別。
C1級要求硬體有一定的安全級別,用戶在使用前必須登陸到系統。
C1級的防護的不足之處在與用戶直接訪問操作系統的根。
9 C2級提供比C1級系統更細微的自主式訪問控制。為處理敏感信息所需要的最底安全級別。C2級別還包含有受控訪問環境,該環境具有進一步限制用戶執行一些命令或訪問某些文件的許可權,而且還加入了身份驗證級別。例如UNIX系統。XENIX。Novell 3。0或更高版本。WINDOWS NT。
10 B1級稱為標記安全防護,B1級支持多級安全。標記是指網上的一個對象在安全保護計劃中是可識別且受保護的。B1級是第一種需要大量訪問控制支持的級別。安全級別存在保密,級別。
11 B2又稱為坦鉛結構化保護,他要求計算機系統中的所有對象都要加上標簽,而且給設備分配安全級別。B2級系統的關鍵安全硬體/軟體部件必須建立在一個形式的安全方法模式上。
12 B3級又叫安全域,要求用戶工作站或終端通過可信任途徑連接到網路系統。而且這一級採用硬體來保護安全系統的存儲區。
B3級系統的關鍵安全部件必須理解所有客體到主體的訪問,必須是防竄擾的,而且必須足夠小以便分析與測試。
30 A1 安全級別,表明系統提供了面的安全,又叫做驗證設計。所有來自構成系統的部件來源必須有安全保證,以此保證系統的完善和安全,安全措施還必須擔保在銷售過程中,系統部件不受傷害。
網路安全從本質上講就是網路上的信息安全。凡是涉及到網路信息的保密性,完整性,可用性,真實性和可控性的相關技術和理論都是網路安全的研究領域。
安全策約是在一個特定的環境里,為保證提供一定級別的安全保護所必須遵守的規則。安全策約模型包括了建立安全環境的三個重要組成部分:威嚴的法律,先進的技術和嚴格的管理。
網路安全是網路系統的硬體,軟體以及系統中的數據受到保護,不會由於偶然或惡意的原因而遭到破壞,更改,泄露,系統能連續,可靠和正常的運行,網路服務不中斷。
保證安全性的所有機制包括以下兩部分:
1 對被傳送的信息進行與安全相關的轉換。
2 兩個主體共享不希望對手得知的保密信息。
安全威脅是某個人,物,事或概念對某個資源的機密性,完整性,可用性或合法性所造成的危害。某種攻擊就是某種威脅的具體實現。
安全威脅分為故意的和偶然的兩類。故意威脅又可以分為被動和主動兩類。
中斷是系統資源遭到破壞或變的不能使用。這是對可用性的攻擊。
截取是未授權的實體得到了資源的訪問權。這是對保密性的攻擊。
修改是未授權的實體不僅得到了訪問權,而且還篡改了資源。這是對完整性的攻擊。
捏造是未授權的實體向系統中插入偽造的對象。這是對真實性的攻擊。
被動攻擊的特點是偷聽或監視傳送。其目的是獲得正在傳送的信息。被動攻擊有:泄露信息內容和通信量分析等。
主動攻擊涉及修改數據流或創建錯誤的數據流,它包括假冒,重放,修改信息和拒絕服務等。
假冒是一個實體假裝成另一個實體。假冒攻擊通常包括一種其他形式的主動攻擊。 重放涉及被動捕獲數據單元以及後來的重新發送,以產生未經授權的效果。
修改消息意味著改變了真實消息的部分內容,或將消息延遲或重新排序,導致未授權的操作。
拒絕服務的禁止對通信工具的正常使用或管理。這種攻擊擁有特定的目標。另一種拒絕服務的形式是整個網路的中斷,這可以通過使網路失效而實現,或通過消息過載使網路性能降低。
防止主動攻擊的做法是對攻擊進行檢測,並從它引起的中斷或延遲中恢復過來。
從網路高層協議角度看,攻擊方法可以概括為:服務攻擊與非服務攻擊。
服務攻擊是針對某種特定網路服務的攻擊。
非服務攻擊不針對某項具體應用服務,而是基於網路層等低層協議進行的。
非服務攻擊利用協議或操作系統實現協議時的漏洞來達到攻擊的目的,是一種更有效的攻擊手段。
網路安全的基本目標是實現信息的機密性,完整性,可用性和合法性。
主要的可實現威脅:
3 滲入威脅:假冒,旁路控制,授權侵犯。
4 植入威脅:特洛伊木馬,陷門。
病毒是能夠通過修改其他程序而感染它們的一種程序,修改後的程序裡麵包含了病毒程序的一個副本,這樣它們就能繼續感染其他程序。
網路反病毒技術包括預防病毒,檢測病毒和消毒三種技術。
1 預防病毒技術。
它通過自身長駐系統內存,優先獲得系統的控制權,監視和判斷系統中是或有病毒存在,進而阻止計算機病毒進入計算機系統對系統進行破壞。這類技術有:加密可執行程序,引導區保護,系統監控與讀寫控制。
2.檢測病毒技術。
通過對計算機病毒的特徵來進行判斷的技術。如自身效驗,關鍵字,文件長度的變化等。
3.消毒技術。
通過對計算機病毒的分析,開發出具有刪除病毒程序並恢復原元件的軟體。
網路反病毒技術的具體實現方法包括對網路伺服器中的文件進行頻繁地掃描和檢測,在工作站上用防病毒晶元和對網路目錄以及文件設置訪問許可權等。
網路信息系統安全管理三個原則:
1 多人負責原則。
2 任期有限原則。
3 職責分離原則。
保密學是研究密碼系統或通信安全的科學,它包含兩個分支:密碼學和密碼分析學。
需要隱藏的消息叫做明文。明文被變換成另一種隱藏形式被稱為密文。這種變換叫做加密。加密的逆過程叫組解密。對明文進行加密所採用的一組規則稱為加密演算法。對密文解密時採用的一組規則稱為解密演算法。加密演算法和解密演算法通常是在一組密鑰控制下進行的,加密演算法所採用的密鑰成為加密密鑰,解密演算法所使用的密鑰叫做解密密鑰。
密碼系統通常從3個獨立的方面進行分類:
1 按將明文轉化為密文的操作類型分為:置換密碼和易位密碼。
所有加密演算法都是建立在兩個通用原則之上:置換和易位。
2 按明文的處理方法可分為:分組密碼(塊密碼)和序列密碼(流密碼)。
3 按密鑰的使用個數分為:對稱密碼體制和非對稱密碼體制。
如果發送方使用的加密密鑰和接受方使用的解密密鑰相同,或從其中一個密鑰易於的出另一個密鑰,這樣的系統叫做對稱的,但密鑰或常規加密系統。如果發送放使用的加密密鑰和接受方使用的解密密鑰不相同,從其中一個密鑰難以推出另一個密鑰,這樣的系統就叫做不對稱的,雙密鑰或公鑰加密系統。
分組密碼的加密方式是首先將明文序列以固定長度進行分組,每一組明文用相同的密鑰和加密函數進行運算。
分組密碼設計的核心上構造既具有可逆性又有很強的線性的演算法。
序列密碼的加密過程是將報文,話音,圖象,數據等原始信息轉化成明文數據序列,然後將它同密鑰序列進行異或運算。生成密文序列發送給接受者。
數據加密技術可以分為3類:對稱型加密,不對稱型加密和不可逆加密。
對稱加密使用單個密鑰對數據進行加密或解密。
不對稱加密演算法也稱為公開加密演算法,其特點是有兩個密鑰,只有兩者搭配使用才能完成加密和解密的全過程。
不對稱加密的另一用法稱為「數字簽名」,既數據源使用其私有密鑰對數據的效驗和或其他與數據內容有關的變數進行加密,而數據接受方則用相應的公用密鑰解讀「數字簽名」,並將解讀結果用於對數據完整性的檢驗。
不可逆加密演算法的特徵是加密過程不需要密鑰,並且經過加密的數據無法被解密,只有同樣輸入的輸入數據經過同樣的不可逆演算法才能得到同樣的加密數據。
加密技術應用於網路安全通常有兩種形式,既面向網路和面向應用程序服務。
面向網路服務的加密技術通常工作在網路層或傳輸層,使用經過加密的數據包傳送,認證網路路由及其其他網路協議所需的信息,從而保證網路的連通性和可用性不受侵害。
面向網路應用程序服務的加密技術使用則是目前較為流行的加密技術的使用方法。
從通信網路的傳輸方面,數據加密技術可以分為3類:鏈路加密方式,節點到節點方式和端到端方式。
鏈路加密方式是一般網路通信安全主要採用的方式。
節點到節點加密方式是為了解決在節點中數據是明文的缺點,在中間節點里裝有加,解密的保護裝置,由這個裝置來完成一個密鑰向另一個密鑰的變換。
在端到端機密方式中,由發送方加密的數據在沒有到達最終目的節點之前是不被解密的。
試圖發現明文或密鑰的過程叫做密碼分析。
演算法實際進行的置換和轉換由保密密鑰決定。
密文由保密密鑰和明文決定。
對稱加密有兩個安全要求:
1 需要強大的加密演算法。
2 發送方和接受方必須用安全的方式來獲得保密密鑰的副本。
常規機密的安全性取決於密鑰的保密性,而不是演算法的保密性。
IDEA演算法被認為是當今最安全的分組密碼演算法。
公開密鑰加密又叫做非對稱加密。
公鑰密碼體制有兩個基本的模型,一種是加密模型,一種是認證模型。
通常公鑰加密時候使用一個密鑰,在解密時使用不同但相關的密鑰。
常規加密使用的密鑰叫做保密密鑰。公鑰加密使用的密鑰對叫做公鑰或私鑰。
RSA體制被認為是現在理論上最為成熟完善的一種公鑰密碼體制。
密鑰的生存周期是指授權使用該密鑰的周期。
在實際中,存儲密鑰最安全的方法就是將其放在物理上安全的地方。
密鑰登記包括將產生的密鑰與特定的應用綁定在一起。
密鑰管理的重要內容就是解決密鑰的分發問題。
密鑰銷毀包括清除一個密鑰的所有蹤跡。
密鑰分發技術是將密鑰發送到數據交換的兩方,而其他人無法看到的地方。
數字證書是一條數字簽名的消息,它通常用與證明某個實體的公鑰的有效性。數字證書是一個數字結構,具有一種公共的格式,它將某一個成員的識別符和一個公鑰值綁定在一起。人們採用數字證書來分發公鑰。
序列號:由證書頒發者分配的本證書的標示符。
認證是防止主動攻擊的重要技術,它對於開放環境中的各種信息系統的安全有重要作用。
認證是驗證一個最終用戶或設備的聲明身份的過程。
主要目的為:
4 驗證信息的發送者是真正的,而不是冒充的,這稱為信源識別。
5 驗證信息的完整性,保證信息在傳送過程中未被竄改,重放或延遲等。
認證過程通常涉及加密和密鑰交換。
帳戶名和口令認證方式是最常用的一種認證方式。
授權是把訪問權授予某一個用戶,用戶組或指定系統的過程。
訪問控制是限制系統中的信息只能流到網路中的授權個人或系統。
有關認證使用的技術主要有:消息認證,身份認證和數字簽名。
消息認證的內容包括為:
1 證實消息的信源和信宿。
2 消息內容是或曾受到偶然或有意的篡改。
3 消息的序號和時間性。
消息認證的一般方法為:產生一個附件。
身份認證大致分為3類:
1 個人知道的某種事物。
2 個人持證
3 個人特徵。
口令或個人識別碼機制是被廣泛研究和使用的一種身份驗證方法,也是最實用的認證系統所依賴的一種機制。
為了使口令更加安全,可以通過加密口令或修改加密方法來提供更強健的方法,這就是一次性口令方案,常見的有S/KEY和令牌口令認證方案。
持證為個人持有物。
數字簽名的兩種格式:
2 經過密碼變換的被簽名信息整體。
3 附加在被簽消息之後或某個特定位置上的一段簽名圖樣。
對與一個連接來說,維持認證的辦法是同時使用連接完整性服務。
防火牆總體上分為濾,應用級網關和代理服務等幾大類型。
數據濾技術是在網路層對數據包進行選擇。
應用級網關是在網路應用層上建立協議過濾和轉發功能。
代理服務也稱鏈路級網關或TCP通道,也有人將它歸於應用級網關一類。
防火牆是設置在不同網路或網路安全域之間的一系列不見的組合。它可以通過檢測,限制,更改跨越防火牆的數據流,盡可能的對外部屏蔽網路內部的消息,結構和運行情況,以此來實現網路的安全保護。
防火牆的設計目標是:
1 進出內部網的通信量必須通過防火牆。
2 只有那些在內部網安全策約中定義了的合法的通信量才能進出防火牆。
3 防火牆自身應該防止滲透。
防火牆能有效的防止外來的入侵,它在網路系統中的作用是:
1 控制進出網路的信息流向和信息包。
2 提供使用和流量的日誌和審記。
3 隱藏內部IP以及網路結構細節。
4 提供虛擬專用網功能。
通常有兩種設計策約:允許所有服務除非被明確禁止;禁止所有服務除非被明確允許。
防火牆實現站點安全策約的技術:
3 服務控制。確定在圍牆外面和裡面可以訪問的INTERNET服務類型。
4 方向控制。啟動特定的服務請求並允許它通過防火牆,這些操作具有方向性。
5 用戶控制。根據請求訪問的用戶來確定是或提供該服務。
6 行為控制。控制如何使用某種特定的服務。
影響防火牆系統設計,安裝和使用的網路策約可以分為兩級:
高級的網路策約定義允許和禁止的服務以及如何使用服務。
低級的網路策約描述了防火牆如何限制和過濾在高級策約中定義的服務。